• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (10)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (117)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (153)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (78)
  • Productos (42)
  • ransomware (11)
  • redes sociales (110)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (289)

• Archivos

  • junio 2013 (18)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

¿Nueva ciberarma económica? Twitter pone en jaque a la Casa Blanca… y a la Bolsa

Seguramente ya lo habréis oído o visto en el telediario: ayer, un ciberatacante se infiltró en la cuenta de la popular agencia de noticias Associated Press de Estados Unidos y publicó un tweet que durante unos minutos hizo convulsionar a la Casa Blanca, a la Bolsa y a más de una institución más. El tweet era una breve alerta del canal de la agencia de noticias en Twitter que decía “Alerta: dos explosiones en la Casa Blanca y Barack Obama herido”.

Automáticamente, el tweet comenzó a ser retuiteado y compartido por miles de personas, y la noticia corrió como la pólvora. Casi inmediatamente, la agencia de noticias publicaba que su cuenta en Twitter había sido pirateada, para posteriormente suspender rápidamente el servicio: “Advertencia: el Twitter de @AP ha sido pirateado. El tweet de un ataque a la Casa Blanca es falso. Os contaremos más cuando sea posible”, mensaje enviado a través de su otra cuenta corporativa @AP_CorpComm.

Mientras esto pasaba, como es lógico, todos los periodistas miraron hacia la Casa Blanca, y su portavoz, Jay Carney, salió rápidamente a desmentir la noticia. Posteriormente hemos sabido que los ciberactivistas en línea que apoyan el régimen del presidente Sirio, Bashar al Assad, reclamaron más tarde la autoría del ataque, el último de una serie de intervenciones contra grandes empresas de información. Los hackers tienen entre sus objetivos más comunes las cuentas de Twitter de empresas de noticias. De la misma manera, estos activistas sirios reivindicaron el haber pirateado la cuenta de AFP de Twitter en febrero pasado.

El llamado Ejército Electrónico Sirio (Syrian Electronic Army), que afirmó haber pirateado la cuenta de AFP, había reivindicado anteriormente haber pirateado las páginas web de Sky News Arabia y Al-Jazeera Mobile.

El sábado pasado las cuentas de los programas de CBS News “60 Minutos” y “48 Horas” también fueron pirateadas. Un tuit de la cuenta @60 Minutos afirmaba: “Exclusiva: el terror golpea #EEUU y #Obama está descaradamente en la cama con Al-Qaeda”. El tuit fue posteriormente borrado y CBS News afirmó estar teniendo problemas con sus cuentas en la popular red social.

Pero vayamos a fijarnos en lo que nos interesa… Estados Unidos acaba de resolver el ataque terrorista  de Boston, y acaba de salir de un estado de emergencia en buena parte del país. Un solo tweet de 140 caracteres fue suficiente para sembrar el pánico en el país, teniendo en consideración que venía de la cuenta de Associated Press (si no estás familiarizado, AP es como nuestra agencia EFE pero mucho más grande y con más influencia). Pero no solo sembró el pánico entre las instituciones… También lo hizo en la Bolsa, que automáticamente se desplomó durante el período de tiempo que tardó en desmentirse la noticia.

Cuando ayer estaba leyendo lo que había pasado y vi la noticia en el telediario, automáticamente pensé: si no está hecho a propósito, quizá sin saberlo, acaban de inventar una nueva ciberarma económica. Veamos…, no sé si estás familiarizado con la Bolsa y su funcionamiento, pero más allá de terminología económica, las fluctuaciones de los valores se suelen mover a base de rumores y noticias.

Que se rumorea que a una gran constructora que opera en Bolsa  le van a dar un gran contrato para hacer una planta acuífera en África, suben sus valores, porque los accionistas, pensando que dicho contrato puede revalorizar el valor de la compañía, se ponen como locos a comprar acciones. A mayor demanda, menor oferta y, por lo tanto, más cara. Por lo que sube su valor. Y viceversa: si hay una noticia negativa que puede afectar desfavorablemente, los accionistas venden, aumenta por lo tanto la oferta disponible de acciones y el precio baja, para conseguir colocar todos los títulos.

Ahora pensemos… Si este hubiera sido un ataque orquestado para conseguir un beneficio económico, alguien se podría haber llevado mucho dinero. ¿Cómo? Fácil: se publica el tweet, y la Bolsa comienza a caer. Alguien que esté pendiente podría comprar cuando los valores están bajos, y unos minutos después, tras el desmentido y la vuelta a la normalidad, y al volver a subir los valores, venderlos. Si ha comprado a 10 dólares cuando estaba más baja y vende, unos minutos después, a 60, y si las cuentas no me fallan, habría sacado 50 dólares de beneficio por acción en solo unos minutos.

Eso sí, tiene que ser alguien que sepa operar en Bolsa y que tenga la agilidad suficiente como para hacerlo. Me imagino que el Ejército Electrónico Sirio igual necesita financiación para llevar a cabo sus tropelías, ¿no? O algún Gobierno… o algún gran operador económico internacional… Piénsalo. Porque si no, este hecho en sí no deja de ser una gamberrada que no lleva a ninguna otra parte, porque era de prever que el desmentido fuera inmediato.

O quizá fue una prueba de concepto para ver hasta qué punto la Bolsa y sus fluctuaciones son sensibles a las noticias filtradas por la Red. Y, como hemos visto, efectivamente lo es. ¿Qué hubiera pasado si en vez de publicar este tweet hubieran dicho que Corea ha lanzado una bomba atómica sobre Estados Unidos? Puf, mejor no pensarlo…

Y pensar en que la Bolsa no responda ante este tipo de noticias es casi una entelequia, porque sería pretender cambiar por la base el funcionamiento del sistema económico, y eso, disculpadme que os diga, no creo que pase.

Seguro que algún otro espabilado ha pensado ya en esta nueva aplicación del ciberactivismo, porque si se buscan los compinches adecuados, pueden amasar una respetable cantidad de dinero. O bien alquilar sus “servicios” al mejor postor y operador en Bolsa. ¿Que es trampa? Bueno, la historia económica está plagada de trampas y triquiñuelas.

Por eso, ante esta noticia y viendo la reacción en cascada que causó, yo me pregunto: ¿estaremos ante una nueva ciberarma económica? No quiero ser tremendista, pero esto sí podría causar un buen lío internacional…

Yolanda Ruiz Hervás

Anonymous lanza la #OpIsrael con un éxito moderado

Aprovechando el día en el que se recuerda a los judíos víctimas del holocausto, miembros de Anonymous decidieron lanzar el pasado domingo 7 de abril la #OpIsrael. Esta operación tenía como finalidad denunciar la precaria situación humanitaria en la franja de Gaza y buscaba dejar inoperativas el máximo número posible de webs en Israel y obtener datos privados para filtrarlos a continuación.

El ataque ha tenido éxito o no dependiendo de a qué parte le preguntemos. Los hacktivistas han declarado que la operación ha sido un éxito, consiguiendo dejar inaccesibles miles de webs, filtrando miles de datos como 5.000 cuentas de Twitter o 30.000 cuentas bancarias y han contabilizado en 3.000 millones de dólares los supuestos daños ocasionados por estos ataques.

En el bando contrario, representantes del Gobierno de Israel encargados de la ciberseguridad han declarado que estos ataques han producido un daño leve y que ninguna infraestructura crítica del país se ha visto afectada. Es más, según el Gobierno israelí estas acciones tan solo pretenden generar ruido para llamar la atención de la prensa, minimizando los datos filtrados y las webs afectadas por esta serie de ataques.

Como nota anecdótica y en respuesta por estas acciones, un hacker israelí consiguió acceder a la web que Anonymous había preparado para esta operación y consiguió modificarla para que, en lugar de mostrar los mensajes en contra de Israel, reprodujera sin cesar el himno nacional israelí.

Entre las webs afectadas hasta el momento, destacamos la de la Fuerza de Defensa de Israel, la del Ministerio de Salud de Israel, la entidad bancaria Leumi, el proveedor armamentístico Israel Military Surplus y la empresa tecnológica Decell. Todas ellas sufrieron intrusiones y filtraciones de datos privados que los hacktivistas han ido publicando. Además, Anonymous también anunció que el sitio web de la empresa Tase, especializado en el mercado de valores, sufrió un ataque de denegación de servicio que supuestamente les supuso grandes pérdidas.

Como sabemos que dependiendo de a cuál de los bandos implicados preguntemos obtendremos información diferente, hemos decidido preguntar a nuestros compañeros de ESET Israel para que nos proporcionen información de primera mano.

Según Amir Carmi, responsable del departamento técnico del distribuidor de ESET en Israel, la mayoría de esta información se ha exagerado para magnificar el ataque. Según sus investigaciones, tan solo un puñado de sitios estuvieron caídos o sufrieron un defacement durante pocos minutos. Además, muchos de los datos filtrados son falsos o pertenecen a personas de otros países. Al respecto de los ataques de denegación de servicio y las supuestas pérdidas millonarias ocasionadas, no han visto ningún indicio que demuestre que esta afirmación sea cierta.

Tendremos que esperar a ver si los hacktivistas realizan algún ataque serio a intereses de Israel que pueda ser contrastado y verificado como tal. De momento, lo único que hemos comprobado es que se está generando mucho ruido alrededor de esta operación pero sin graves consecuencias en objetivos israelitas.

Josep Albors

Anonymous asegura haber obtenido datos privados de una web de propaganda norcoreana

Entre los ataques a diferentes webs producidos durante la pasada Semana Santa que comentábamos ayer, vimos cómo alguno de ellos había tenido como objetivo sitios web de Corea del Norte. No hace falta devanarse los sesos para averiguar que estas acciones son una respuesta a las continuas amenazas a la comunidad internacional por parte de su líder, Kim Jong-Un, quien amenaza con desplegar su arsenal nuclear en respuesta a unas recientes maniobras militares realizadas por sus vecinos del sur y el ejército de los Estados Unidos.

En el día de ayer conocimos la noticia de que miembros de Anonymous habrían conseguido, supuestamente, acceder al sitio de propaganda norcoreano Uriminzokkiri.com y obtener más de 15.000 credenciales de sus usuarios. A través de un mensaje que se publicó para informar de esta filtración de datos, estos miembros de Anonymous expusieron sus motivos para lanzar este ataque a esta web norcoreana y pusieron como ejemplo seis cuentas obtenidas de ella que mostraban sus nombres de usuario, direcciones de email, fecha de nacimiento y las contraseñas cifradas.

La web afectada se encuentra alojada en China, no en Corea del Norte, y no es la primera vez que sufre un ataque similar. Ya en 2011, grupos hacktivistas atacaron esa misma web, borrando artículos y publicando mensajes en contra del régimen norcoreano.

En el mensaje dejado por Anonymous se menciona también que los hacktivistas que realizaron este ataque tienen acceso a la Intranet de Corea del Norte, así como también acceso a sus servidores de correo y servidores web. Desconocemos la veracidad de estas afirmaciones y será difícil creerlo si no se presentan pruebas contundentes, puesto que es conocido que la Intranet de Corea del Norte no se encuentra conectada a Internet y es considerada una de las redes de más difícil acceso, algo completamente lógico conociendo la política aislacionista del régimen norcoreano.

Como vemos, de nuevo una escalada de tensión entre naciones en el mundo real tiene su repercusión en Internet. El problema viene cuando estas acciones online son tomadas como ataques equiparables con actos de guerra por las naciones afectadas y se plantea tomar represalias que amenazan la vida de civiles solo por ser considerados “hackers peligrosos”.

Josep Albors

Resumen de ataques a webs y filtraciones en Semana Santa

Mientras volvemos de las merecidas vacaciones de Semana Santa y nos incorporamos de nuevo a nuestra rutina habitual, es hora de hacer balance de lo que ha sucedido en este largo puente. La verdad es que han habido ataques a webs de todo tipo, incluyendo algunas importantes multinacionales y gobiernos.

Empezábamos el Jueves Santo con la noticia de la filtración de más de 200.000 credenciales de usuarios de McDonald’s en Austria y Taiwán. Asimismo, el sitio web oficial de McDonald’s de Corea del Sur fue modificado para que mostrase un mensaje de los perpetradores de este ataque, un integrante del Ajan hacker group conocido como Maxney.

Entre los datos filtrados se encuentran las credenciales de acceso a los sitios web de McDonald’s Austria y Taiwán, así como también nombres de usuario, direcciones de correo, contraseñas cifradas, género, dirección de residencia y fecha de nacimiento, entre otros. En total, los datos filtrados suman alrededor de 226.000 en Taiwán y 21.000 en Austria.

El mismo atacante consiguió acceder al sitio web taiwanés de otra importante empresa como es MTV y filtrar más de medio millón de cuentas de sus usuarios, además de modificar su página de inicio. Entre los datos filtrados se encuentran el nombre completo de los usuarios, el correo electrónico y las credenciales de acceso en texto plano.

Otro de los ataques que más webs ha afectado ha sido el realizado por el grupo Algerian to the core. En principio no se ha producido filtración de datos y estos ataques se han limitado a modificar las webs de varias empresas y sitios gubernamentales. Entre las webs afectadas encontramos alguna perteneciente a los Gobiernos australiano y tailandés. También se han visto afectadas muchas webs de empresas de otras nacionalidades, como Israel o Francia.

Pero sin duda, el mayor número de webs atacadas por este grupo pertenecen a empresas españolas con dominios .es y .cat. En el momento de escribir este artículo, aún muchas de ellas se encuentran modificadas. Es posible que este ensañamiento a estas webs de empresas españolas se deba a intereses comerciales que estas empresas puedan tener en el país, pero también podría deberse a una mera coincidencia.

Durante estos últimos días también hemos visto cómo la tensión entre Corea del Norte y sus vecinos del sur aumentaba de forma preocupante, motivo por el cual no es de extrañar que varios grupos hacktivistas hayan decidido tomar cartas en el asunto. Entre esos grupos encontramos a Anonymous_Korea, quien decidió lanzar una serie de ataques contra sitios web de Corea del Norte.

Esto no hace más que añadir tensión entre las dos naciones, aunque las primeras noticias de estos ataques se remontan a mediados de febrero. Más inquietante resulta el anuncio de un supuesto gran ataque que, supuestamente, sería lanzado el próximo 25 de junio, aunque no se ha confirmado que este anuncio sea verdadero.

El último de los ataques de los que hemos tenido constancia es de esta misma madrugada y ha afectado a la web del Banco de la UK Commonwealth, uno de los más importantes de Australia. Entre los datos obtenidos se encuentran 1.900 direcciones de correo, contraseñas cifradas y nombres completos de los usuarios. El hecho de que estos datos hayan sido obtenidos desde la web de una importante entidad bancaria no dice mucho a favor de la seguridad que esta entidad proporciona a sus usuarios.

Como vemos, ha sido un puente de Semana Santa movidito, motivado probablemente por el  hecho de que muchos administradores de los sitios web comprometidos se encontrasen de vacaciones. Asimismo, nos gustaría dar las gracias al sitio Cyberwarnews.info por la gran labor que realiza al recopilar información de este tipo de ataques y que nos permite estar al día sobre ellos.

Josep Albors

Comprometen la cuenta de Twitter de Burguer King para que muestre imágenes e información de McDonald’s

El robo de cuentas de Twitter o el acceso a las mismas de forma ilegal no es algo que sea precisamente una novedad, produciéndose muchos casos a diario que pasan inadvertidos. No obstante, cuando se trata de una celebridad o, como en este caso, la cuenta verificada de una gran empresa, la noticia de que la cuenta ha sido comprometida suele extenderse rápidamente por Internet.

En esta ocasión, la empresa afectada ha sido Burguer King, quien ha visto como su cuenta verificada de Twitter ha sido comprometida por los hacktivistas de LulzSec y, en el momento de escribir este post, se encuentra mostrando información e imágenes de su más directo competidor, McDonalds., tal y como se puede ver a continuación:

Este ataque se engloba en lo que parece se ha decidido llamar #OpMadCow y, aunque no están claros sus propósitos no se les puede negar que han conseguido llamar la atención ya que miles de tweets y decenas de webs recogen la noticia.

Aún es pronto para comprobar si este ataque se ha quedado en una “broma pesada” a una de las cadenas de restauración más importantes del mundo, o si los hacktivistas han ido más allá y han conseguido información privada de empleados y usuarios. Sea lo que sea, nosotros estaremos atentos para informar desde este blog de cualquier novedad en este asunto.

Josep Albors

Información privada de miembros de la Academia de Cine filtrada por hacktivistas

Anoche se celebró la entrega de los premios Goya del cine español y, como viene siendo costumbre durante los últimos años, los hacktivistas volvieron a ser protagonistas al hacer públicos datos de los miembros de la Academia de Cine.

Mediante un tweet publicado por miembros de LulzEs se comunicó la filtración de estos datos, los cuales incluyen correos electrónicos y números de teléfono de varios de los asistentes a la gala de entrega de los premios Goya.

Parece mentira que haya vuelto a ocurrir algo tan similar a lo que ya ha pasado en ocasiones anteriores, y eso demuestra, como bien apuntan nuestros compañeros Chema Alonso en su blog y los chicos de Security by Default, que no se toman las medidas de seguridad necesarias para proteger datos privados como estos.

Este no es un caso de publicación de una agenda telefónica sustraída de algún famoso, como ocurrió con Pipi Estrada. Se trata de datos privados de artistas, directores, productores y otras personas que han confiado en la Academia de Cine y su sistema informático y ahora ven cómo cualquiera puede acceder a ellos.

Por suerte, no se han publicado los nombres asociados a cada email o teléfono, pero solo con que analicemos los correos electrónicos publicados podremos asociar muchos de ellos a la persona que hay detrás, lo que puede derivar en cientos de llamadas a actores famosos por parte de gente que ha consultado estos datos filtrados.

Viendo que este tipo de filtraciones se producen una y otra vez, podríamos decir que los personajes famosos e importantes disponen ahora de menos privacidad que nunca, aunque a veces ya se encargan ellos mismos de hacer públicos datos privados.

Los usuarios que no somos personajes famosos podemos aprender una lección de esta noticia, y es asumir que nuestros datos privados no están seguros en ninguna empresa u organización. Si aceptamos esta realidad, podemos empezar a limitar la cantidad de datos que proporcionamos y, de esta forma, limitar nuestra exposición a este tipo de incidentes.

Josep Albors

#OpValentine: hacktivistas unidos para celebrar San Valentín

En los últimos días, grupos hacktivistas como Anonymous han informado del lanzamiento de una nueva operación de nombre #OpValentine. Como su nombre indica, esta operación se llevará a cabo durante el próximo 14 de febrero, día de San Valentín, e intentará que todos aquellos usuarios solidarizados con las causas hacktivistas muestren su apoyo a aquellos miembros de estas organizaciones que están encarcelados.

Cada vez son más los gobiernos que consideran a los hacktivistas como una amenaza para sus intereses, sobre todo por la capacidad de algunos grupos para infiltrarse en sus redes y hacer pública información confidencial que podría comprometerles. Es por ello que en los últimos meses se han incrementado las operaciones policiales contra estos grupos y no son pocos los que ya se encuentran en prisión o en espera de juicio.

No obstante, estas acciones, lejos de desanimar a los hacktivistas y a sus simpatizantes, no hacen sino reforzar su posición y ganar apoyos entre la sociedad. No hay más que ver la realización constante de operaciones en todo el mundo de estos grupos hacktivistas, operaciones que sacan a la luz millones de datos privados o que inutilizan temporalmente servicios web de grandes empresas y gobiernos.

Pero esta no es la única gran operación (entre otras más pequeñas) que tienen planeada los hacktivistas para este mes de febrero. Para el próximo 23 de febrero está previsto que dé comienzo la #OpBigBrother (también conocida como el día internacional por la privacidad, #IDP13), operación que pretende denunciar los proyectos de ley que tratan de vigilar los movimientos y comunicaciones de los ciudadanos.

Aún no está claro qué tipo de objetivos  se pretenden atacar en esa fecha o si solamente será una jornada de protesta en la red, pero algunas empresas de comunicación (prensa, radio, televisión, Internet, etc.) suenan como probables objetivos por su supuesta colaboración, según los hacktivistas, con los gobiernos a la hora de mantener desinformados a los ciudadanos acerca de estas medidas de vigilancia.

Estaremos atentos ante cualquier novedad que surja de estas operaciones y, en el caso de producirse alguna noticia de interés, la publicaremos debidamente en este blog.

Josep Albors.

Resumen anual de seguridad informática: Facebook y Twitter protagonizaron incidentes de seguridad durante todos los meses de 2012

¡Madre mía qué mal lo hemos pasado este año haciendo el resumen! Hay que reconocer que la práctica ayuda, pero cuando tienes que seleccionar entre los 350 artículos que hemos publicado este año, todos ellos referentes a temas de seguridad y/o privacidad, el ejercicio es arduo. Siempre se queda algo fuera, y seguro que importante, pero al menos está todo lo que es más relevante a nivel internacional.

El pasado año ha seguido la estela de actividad en cuanto a seguridad informática se refiere, ya que todos los meses han sucedido hechos internacionales que han tenido sus efectos y una gran repercusión mediática. Si echamos un vistazo al Resumen Anual de Seguridad 2012 que nos hemos currado, veremos que hay nombres propios que se repiten a lo largo de cada uno de los meses y que protagonizan repetitivos incidentes de seguridad de forma reincidente.

En el capítulo de hacktivismo, Anonymous se ha mostrado especialmente activo este año operando en el frente tanto nacional como internacional. A nivel local, los miembros de este colectivo han publicado los datos privados de los responsables de la Ley Sinde a principios de año, han aprovechado los premios Goya para introducirse en los servidores de la Academia del Cine y obtener multitud de datos profesionales y personales, han protestado junto al colectivo sanitario por los recortes en Sanidad y han atacado, también en señal de queja por la situación económica, varias webs de partidos políticos.

Con respecto a actuaciones internacionales e intrusiones no autorizadas, numerosos organismos, instituciones y grandes empresas privadas han visto su seguridad e integridad vulneradas por una razón u otra. La realidad es que la NASA, varias universidades, entidades gubernamentales americanas, Sony, Amazon.com, T-Mobile, Nissan y VMWare, por solo citar unos ejemplos, se han convertido en blanco durante el pasado año de los cibercriminales.

Respecto a la aparición de nuevas amenazas informáticas, tanto la plataforma Mac como Android se han llevado la palma, sin desmerecer para nada a Windows, que sigue ostentando la gran cifra récord de 250.000 nuevos ejemplares mensuales. Otro dispositivo, como el eReader Kindle Touch, también ha tenido algún susto.

En cuanto a las técnicas de ingeniería social utilizadas para la distribución de spam o phishing, también hemos visto cómo se han seguido utilizando los hechos más internacionales y representativos, como los Juegos Olímpicos y la Supercopa, pero también han hecho mella otros ganchos como el de Michel Teló y su éxito del verano, servicios como SkyDrive de Microsoft o relacionados con juegos muy conocidos como League of Legends.

También 2012 ha sido el año en el que se han descubierto varias redes de botnets, algunas relacionadas con el espionaje internacional y con ataques dirigidos, como es el caso de Medre o de Flashback. A lo que se añaden las múltiples vulnerabilidades críticas en los programas habituales, como Adobe, Java y Windows.

Los problemas de privacidad derivados del uso de plataformas online especialmente diseñadas para enriquecerse a costa de los datos del usuario han dado mucho de qué hablar durante el pasado año, y hemos visto cómo prácticamente todos los grandes han tenido problemas en uno u otro sentido al enfrententarse a quejas y demandas justificadas que luchan por mantener la intimidad de la información personal de los usuarios compartida a través de este tipo de portales.

Pero ha habido más… Noviembre ha marcado un antes y un después en cuanto a actualidad mediática relacionada con la seguridad de la información, ya que el robo de la agenda de Pipi Estrada y su posterior publicación online puso a muchos famosos en jaque durante varios días. Igualmente, el supuesto bulo de las fotos eróticas de las chicas de Deusto puso en duda la integridad de la conocida universidad, aunque todo pareció más un invento que otra cosa.

Un año en el que hemos tenido prácticamente de todo y cuya información se encuentra resumida, mes a mes, en nuestro Informe Anual de Seguridad 2012.

¡Que la seguridad nos acompañe en 2013!

 

Yolanda Ruiz Hervás

 

Josep Albors

 

 

Ciberataques y hacktivismo, Facebook y Twitter y amenazas para todas las plataformas, nombres propios en diciembre

¡¡Feliz 2013!! Esperamos que hayáis comenzado el año con buen pie, porque son 364 los días que nos quedan por delante . Nosotros, como siempre, os acompañaremos desde este lado, alertando sobre todo tipo de informaciones relacionadas con la seguridad informática y la privacidad con el ánimo de que cada día nos protejamos un poquito mejor.

Si el año 2012 en términos globales ha sido especialmente intenso en cuanto a incidentes de seguridad se refiere, el mes de diciembre no ha cambiado la tendencia y ha discurrido no exento de sobresaltos, sustos y acciones que han tenido su impacto. Los ciberataques y el hacktivismo, las redes sociales y los problemas de privacidad, las vulnerabilidades tanto en hardware como en software así como masivas campañas de spam han saltado a los titulares. Por si te has perdido alguno, te traemos un resumen de lo que ha sido uno de los meses más activos en noticias de seguridad.

Ciberataques y hacktivismo

Este mes ha sido muy activo en lo que operaciones hacktivistas se refiere. El conflicto entre varios países musulmanes e Israel fue la excusa perfecta para que las protestas se extendieran a la red y comenzasen las filtraciones de datos privados y la modificación de páginas web por mensajes apoyando a uno u otro bando, como las operaciones #OpIsrael u #OpFuckMohammad.

En menor medida pero también con la inestabilidad política en Oriente Medio como telón de fondo nació la #OpSyria, para condenar los ataques del Gobierno sirio a su población. Entre las acciones drásticas tomadas en este conflicto figura la desconexión de ese país de Internet durante unos días, acusándose mutuamente las dos facciones en conflicto.

Las instituciones educativas y más en concreto las universitarias también fueron víctimas de este tipo de ataques tal y como pudimos comprobar con los ataques sufridos por parte de las universidades de Macquarie en Australia y la de Michigan en Estados Unidos. En la primera de ellas los atacantes afirmaron haber obtenido alrededor de un millón de contraseñas almacenadas en texto plano mientras que responsables de la universidad rebajaban esta cifra a 2600 cuentas con las contraseñas cifradas.

Un objetivo clásico de este tipo de ataques es la NASA, que vio cómo su seguridad, junto con la de otras agencias aerospaciales como la European Space Agency, el Crestwood Technology Group – CTG123, Bigelow Aerospace, California Manufacturers & Technology Association – CMTA.net, Aerospace Suppliers y World Airport Transfers también vieron cómo se filtraban datos supuestamente privados por obra y arte del grupo GhostShell.

El ciberataque curioso del mes fue el sufrido por varias webs de contenido adulto que vieron vulnerada su seguridad, permitiendo que los atacantes colgaran en varios sitios de Internet miles de credenciales de acceso a servicios pornográficos online de pago.

Una de las últimas actividades del año del colectivo Anonymous consistió en preparar la #OpPedoChat, una operación que pretendía exponer a pederastas usuarios de Twitter para que se tomasen acciones contra ellos. Si bien las formas usadas no fueron las más ortodoxas, esta acción permitió destapar las actividades encubiertas de estos individuos e incluso alguno vio cómo se cancelaba su cuenta de Twitter y se emprendían acciones legales contra su persona.

En el ámbito nacional, diciembre fue el mes en el que los datos aportados por el Centro Criptográfico Nacional desveló que 2012 ha sido el peor año en cuanto a ciberataques contra las altas instituciones del Gobierno español. La mayoría de estos ataques según el CCN fueron atribuidos al grupo hacktivista Anonymous y tenían como objetivos tanto a dispositivos de uso personal de altas personalidades gubernamentales, como móviles, portátiles y tablets, como a servidores clave de las instituciones mencionadas anteriormente.

Redes sociales

Las redes sociales también han dado que hablar tanto por los fallos y vulnerabilidades que han sufrido como por la excesiva confianza de los usuarios a la hora de pulsar sobre un enlace sospechoso. Hemos visto y analizado un par de casos de publicaciones en Facebook que, haciéndose pasar por vídeos que despertaban la curiosidad de los usuarios, obtenían el permiso de estos para poder publicar en su muro.

Tanto Twitter como Facebook vieron cómo se hacía pública una vulnerabilidad que se aprovechaba de la función de enviar o recibir actualizaciones vía SMS que incorporan estas redes sociales. Aprovechándose de este fallo, cualquiera podía publicar mensajes en nuestro nombre si conocía el número de teléfono asociado a la cuenta.

Facebook también fue protagonista durante el pasado mes de diciembre debido a un error que hizo inaccesible el servicio durante varios minutos. Ese mismo día Google también presentó dificultades para acceder a varios de sus servicios como Gmail, Google Calendar, Google Play, Google Drive y Google Docs durante un buen rato. Según ambas empresas, esta caída del servicio se debió a fallos técnicos aunque no tardaron en aparecer supuestos hackers que querían atribuirse el mérito.

Privacidad

A principios de diciembre todavía coleaba el conocido como caso de las fotos de las chicas de Deusto. Este hecho, que tuvo en vilo a muchas personas durante varios días hasta que se desveló que no hubo ningún robo de información desde los móviles de los estudiantes, demuestra la facilidad con la que se puede propagar un bulo, aunque no deberíamos bajar la guardia porque en esta ocasión ninguna de las fotos difundidas se correspondiese con estudiantes de Deusto.

El manejo de nuestros datos personales y de la información que publicamos en las redes sociales también dio mucho que hablar el mes pasado. Primero Facebook anunció cambios en sus políticas de privacidad tras haber finalizado el periodo de consulta en el que los usuarios teníamos derecho a opinar sobre si queríamos que se mantuviesen las políticas actuales o aceptábamos cambios. Al no haber votado el 30 % mínimo (se estima que la participación apenas llegó al 1 %) Facebook asume que está en su derecho de cambiar estas políticas de privacidad a su antojo sin que los usuarios puedan reclamar.

Pero la decisión más controvertida fue la que tomó Instagram (propiedad de Facebook, recordemos) cuando anunció cambios en su política de propiedad intelectual. En pocas palabras, Instagram se reservaba los derechos perpetuos de venta de las fotos que los usuarios hubieran subido y compartido a través de esta red sin ningún tipo de obligación a pago o a notificación. Esto desató muchas críticas que hicieron que un representante saliese a intentar aclarar el asunto y que, si bien minimizó el impacto de estos cambios, no dejó del todo claro la política que seguirían en el futuro.

Vulnerabilidades en software

Hotmail, el popular servicio de correo electrónico de Microsoft conocido ahora como Outlook, vio cómo se publicaba una vulnerabilidad que permitía el robo de sesiones aunque esta se encontrase cerrada. Los pasos a seguir para conseguirlo eran relativamente sencillos y se resumían en conseguir las cookies del navegador desde el que se hizo el acceso e importarlas a otro navegador.

Una buena noticia para todos los que se preocupan por la seguridad de las aplicaciones instaladas en su sistema fue la que dio Oracle al anunciar que empezará a actualizar automáticamente a la versión más reciente a aquellos usuarios que aún estén usando JRE 6 (Java Runtime Enviroment) a partir del mismo mes de diciembre, actualización que incluye la opción de que el usuario configure su seguridad.

Uno de los plugins más usados en el popular gestor de contenidos WordPress fue noticia a finales de mes al anunciarse una vulnerabilidad en W3 Total Cache. Esta vulnerabilidad permite aprovecharse de un fallo en la forma en que W3TC almacena la caché de la base de datos en un directorio de acceso público y que podría ser usado para obtener los hash de las contraseñas y otra información de la base de datos.

Vulnerabilidades en hardware

En lo que respecta a vulnerabilidades en dispositivos distintos a los ordenadores, Samsung se ha llevado la palma sin duda alguna durante el mes pasado. Primero vimos cómo se publicaba una vulnerabilidad en ciertos modelos de Smart TV de la marca coreana que permitiría ganar acceso total al televisor y a cualquier dispositivo USB conectado a él, entre otras muchas opciones.

El otro incidente de seguridad en el que se vio envuelto Samsung tiene relación con el procesador Exynos, el cerebro de dispositivos tan populares como el Galaxy SII, Galaxy SIII o el  Galaxy Note II entre otros. Según el investigador que hizo público este descubrimiento, el grave agujero de seguridad permite acceder a la memoria física del dispositivo, lo que equivale a poder acceder a cualquier cosa que se esté almacenando en la RAM, incluyendo el directorio virtual para la memoria que usa el kernel del sistema. En la práctica esto se traduce en un control total del dispositivo.

Malware

En diciembre analizamos un troyano bancario que lleva meses dando que hablar. Win32/Gataka tiene muchas características que lo hacen peculiar. Entre ellas, las capacidades de inyección web de este troyano son bastantes interesantes. La idea de tener un módulo JavaScript centralizado para utilizarlo como método de acceso a todas las funcionalidades de la plataforma principal es particularmente llamativo, por lo que no descartamos nuevos análisis en el futuro.

Otro malware que analizamos en nuestro blog fue el conocido como Win32/Spy.Ranbyus. Este troyano bancario presenta una característica realmente interesante puesto que muestra cómo es posible saltarse el firmado/autenticación de las transacciones de pago con dispositivos smartcard. Con técnicas de este tipo Ranbyus ha conseguido el liderato entre el malware bancario en la región de Ucrania.

El malware para sistemas Mac también ha estado presente durante el mes pasado y en nuestro blog analizamos una nueva muestra para estos sistemas que estaba siendo propagada en una web relacionada con el Dalai Lama. Esta web incluía una línea de código puesta allí por los atacantes y que hacía que los visitantes de esta web se descargasen un applet de java. Este applet intentaba aprovecharse de la misma vulnerabilidad que usó el troyano Flashback durante la pasada primavera y que consiguió afectar a más de 600.000 equipos con Mac OS en todo el mundo.

Linux también tuvo su ración de amenazas y en nuestro blog analizamos Linux/Chapro.A, un módulo Apache malicioso que se estaba propagando preocupantemente. Este módulo se estaba usando para inyectar contenido malicioso en páginas web mostradas por servidores web y su finalidad era robar credenciales bancarias.

En el apartado de dispositivos móviles observamos cómo aparecía una variante para smartphones de Carberp, conocido troyano bancario que afecta principalmente a Rusia y países del este de Europa. Citmo, tal y como se conoce esta amenaza, está especializada en el robo de información bancaria y está pensada para romper los sistemas de doble autenticación que incorporan algunas entidades bancarias.

Esperamos que 2013 sea más tranquilo en cuanto a incidentes de seguridad se refiere, pero observando las tendencias, mucho nos tememos que no será un deseo que se haga realidad.

¡Suerte con vuestra lista de deseos de año nuevo, tropa! Esperamos que cumpláis al menos la mayoría de ellos.

Josep Albors

Yolanda Ruiz

 

 

Siguen los ciberataques en fechas navideñas

Como ya vimos en el post publicado el lunes, aunque estemos en fechas de vacaciones navideñas, eso no significa que no hayan incidentes de seguridad. Durante los últimos días se han venido produciendo una serie de ciberataques que han dejado varias páginas web modificadas y filtrado miles de cuentas de acceso y correos electrónicos.

Comenzamos este repaso en Oriente Medio, donde siguen los ataques entre los partidarios de Israel y sus adversarios pro-musulmanes. Siguiendo con la protesta online bautizada como #OpIsrael por los hacktivisatas, en respuesta por el bombardeo de la franja de Gaza, hemos visto múltiples acciones de deface (modificación) de páginas web, no solo en webs de Israel, sino también en otros países como Nueva Zelanda, Australia e Italia.

Estas acciones de defacement han venido acompañadas de filtraciones de datos de las webs atacadas, que incluyen información como accesos a bases de datos con sus respectivas credenciales y correos electrónicos pertenecientes a los usuarios y administradores de esas bases de datos.

Pero en el lado contrario tenemos también a hacktivistas que apoyan la causa de Israel y se dedican a atacar a intereses musulmanes. Con una operación bautizada como #OpFuckMohammad llevan semanas realizando ataques a webs islámicas y filtrando información como los más de 90.000 correos electrónicos obtenidos de la web ihya.org.

Siguiendo con esta operación, la web de la Islamic Network sufrió otro ataque que consiguió obtener y publicar alrededor de 17.000 credenciales de acceso. Ambas acciones fueron reivindicadas por el hacker conocido como @th3inf1d3l, responsable de la mayoría de acciones de esta operación.

En otro ataque que no tiene que ver con las operaciones mencionadas pero que también afecta a un país de Oriente Medio, hacktivistas de Anonymous atacaron una web del Gobierno de Kuwait perteneciente a la corona de ese país. Este ataque se ha englobado dentro de la #OpAntisec, operación que se inició hace varios meses  y que suponíamos inactiva desde mediados de este año, y ha consistido en un deface de su web (mostrando motivos navideños) y una copia del archivo /etc/shadow del servidor Linux comprometido.

Cambiando de operación, hacktivistas de todo el mundo se han unido a la #OpPedoChat organizada por Anonymous con la intención de descubrir y cerrar cuentas de Twitter pertenecientes a pedófilos que publican imágenes indecentes de menores. A fecha de hoy son varias las cuentas de estos supuestos pedófilos que han sido cerradas por los administradores de Twitter al demostrarse que estaban publicando este tipo de material.

Además de este bloqueo de cuentas, varios usuarios están colaborando para destapar este tipo de cuentas y denunciarlas a las fuerzas de seguridad para que tomen las acciones legales pertinentes. Si bien las formas usadas no son las más ortodoxas, acciones como esta ayudan a destapar las actividades de estos peligrosos delincuentes y ayudan a proteger a menores de sus abusos.

Como vemos, mucha actividad en días que supuestamente son de descanso y de convivencia con nuestros seres queridos, y es que, tal y como hemos visto en los últimos años, la seguridad informática no entiende de fronteras ni de horarios, por lo que hemos de estar siempre alerta y nunca bajar la guardia. Por nuestra parte y, gracias a sitios como Cyberwarnews, seguiremos informando de todo lo que se cueza en este mundo.

Josep Albors

Artículos Anteriores »